Chrome 扩展程序和嵌入页面的 Javascript 之间通信的选项

Question

我正在监视浏览器事件，例如创建新选项卡时。我的扩展需要在新标签页中显示这些浏览器事件。

为了使版本控制更容易，我希望扩展尽可能简单。也就是说，它所需要做的就是告诉我一个选项卡已创建，并且我需要能够告诉扩展程序切换到选项卡。这样我就不必担心人们安装了哪些扩展版本。

到目前为止，新的标签页是重定向到我的服务器上托管的单页应用程序。

我的选择似乎是：

1. 使用自定义事件在内容脚本和嵌入页面之间发送消息：http://code.google.com/chrome/extensions/content_scripts.html#host-page-communication

   这似乎存在安全风险，因为页面 javascript 也可以访问 DOM，从而访问我正在交换的消息。

2. 将 HTML 从服务器加载到 iframe 中，从服务器中提取应用程序 JS 并将其作为内容脚本注入到 iframe 中。这使得应用程序的 JS 能够完全访问我所需要的 chrome 扩展 API。

另一个考虑因素是我的项目当前正在使用 RequireJS。对于选项2，我似乎无法使用它。

任何人都可以推荐首选选项，同时牢记选项 1 的安全风险吗？

我可以将 RequireJS 与选项 2 一起使用吗？

是否有其他方法可以实现这个？